این آسیب‌پذیری CVE-2026-6555 در افزونه ProSolution WP Client برای وردپرس، یک نقص بحرانی (Critical) با امتیاز 9.8 از نوع Arbitrary File Upload است که می‌تواند به Remote Code Execution (RCE) منجر شود. مشکل از ناسازگاری در اعتبارسنجی آرایه فایل‌ها (Array Validation Mismatch) ناشی می‌شود: بررسی پسوند و MIME فقط روی اولین فایل انجام می‌گیرد، اما در ادامه همه فایل‌های آرایه بدون کنترل کافی پردازش و در مسیر قابل‌دسترسی از وب ذخیره می‌شوند. در نتیجه، مهاجم احرازهویت‌نشده می‌تواند با قرار دادن یک فایل سالم در ابتدا و یک فایل مخرب PHP در ادامه، محدودیت امنیتی را دور زده و کد دلخواه را روی سرور اجرا کند.

آسیب‌پذیری‌های CVE-2026-8973، CVE-2026-8974 و CVE-2026-8975 با شدت 9.8 (بحرانی)، مجموعه‌ای از نقایص ایمنی حافظه (Memory Safety) در Mozilla Thunderbird هستند که می‌توانند منجر به خرابی حافظه (Memory Corruption) شوند. این ضعف‌ها به مهاجم اجازه می‌دهند از طریق ارسال ایمیل یا محتوای مخرب، کنترل اجرای برنامه را در اختیار گرفته و کد دلخواه را از راه دور روی سیستم قربانی اجرا کنند؛ لذا به‌روزرسانی فوری به نسخه‌های امن جدید موزیلا برای پیشگیری از نفوذ الزامی است.

آسیب‌پذیری CVE-2026-20131 در Cisco Secure Firewall Management Center (FMC) یک نقص بحرانی RCE است که می‌تواند بدون احراز هویت، کد دلخواه مهاجم را روی سیستم اجرا کند. ریشه مشکل deserialization ناامن داده‌های جاوا در رابط مدیریتی تحت وب FMC است و در صورت موفقیت، مهاجم می‌تواند با سطح دسترسی root دست یابد و کنترل/تغییر تنظیمات فایروال و حتی ایجاد دسترسی پایدار در شبکه را ممکن کند. شدت این نقص CVSS=10.0 (Critical) بوده و سیسکو اعلام کرده است Workaround کامل ندارد و راه رفع آن فقط با به‌روزرسانی امنیتی است؛ در دسترس بودن FMC از اینترنت احتمال سوءاستفاده را بیشتر می‌کند.

آسیب‌پذیری CVE-2026-42369 یک نقص بحرانی Stack Overflow در قابلیت WebCam Server نرم‌افزار GeoVision GV‑VMS V20 است که در فرآیند احراز هویت endpoint مربوط به gvapi رخ می‌دهد. به دلیل کپی بدون کنترل اندازه داده Base64 روی stack و نبود ASLR، مهاجم از راه دور می‌تواند با ارسال درخواست HTTP دستکاری‌شده به اجرای کد با سطح دسترسی SYSTEM دست یابد.

آسیب‌پذیری CVE-2026-41940 در نرم‌افزار cPanel & WHM از نوع Authentication Bypass بوده و به دلیل ضعف در مدیریت نشست سرویس cpsrvd ایجاد شده است. مهاجم می‌تواند با دستکاری کوکی و تزریق مقادیر جعلی مانند user=root، بدون احراز هویت به سطح دسترسی root دست یابد و کنترل کامل سرور را در اختیار بگیرد؛ شدت این نقص 9.8 (بحرانی) و تأثیر آن بر محرمانگی، یکپارچگی و دسترس‌پذیری بسیار بالا است.

در MegaCMS نسخه 12.0.0 یک آسیب‌پذیری SQL Injection با شناسه CVE-2026-3325 در پارامتر id_territorio از endpoint مسیر /web_comunications/cms/get_provincias وجود دارد که پس از ارسال فرم ثبت‌نام در درخواست POST بدون احراز هویت قابل سوءاستفاده است. به دلیل اعتبارسنجی و پاک‌سازی ناکافی ورودی، مهاجم می‌تواند کوئری‌های دلخواه SQL اجرا کند؛ این نقص با CWE-89، امتیاز CVSS v4.0 برابر 10 (بیشینه) و تأثیر شدید بر محرمانگی، یکپارچگی و دسترس‌پذیری ارزیابی شده است.

آسیب‌پذیری CVE-2026-33453 در مؤلفه camel-coap در Apache Camel به دلیل فیلتر نشدن پارامترهای query درخواست‌های CoAP رخ می‌دهد و این پارامترها مستقیماً به headerهای پیام Camel تبدیل می‌شوند، که امکان تزریق headerهای داخلی Camel را برای مهاجم فراهم می‌کند. اگر route این پیام‌ها را به producerهای حساس به header مانند camel-exec، camel-sql یا camel-bean بفرستد، مهاجم می‌تواند رفتار آن‌ها را تغییر داده و در سناریوی camel-exec حتی منجر به اجرای دستور روی سیستم‌عامل شود.

آسیب‌پذیری CVE-2026-41492 در Dgraph با شدت 9.8 باعث می‌شود endpoint بدون احراز هویت /debug/vars اطلاعات خط فرمان پردازش را افشا کند. این افشا می‌تواند توکن مدیریتی Dgraph را لو دهد و مهاجم با استفاده از آن در هدر X-Dgraph-AuthToken به endpointهای مدیریتی دسترسی غیرمجاز بگیرد.

یک آسیب‌پذیری بحرانی در کتابخانه Axios با شناسه CVE-2026-40175 کشف شده که به دلیل پاک‌سازی نشدن صحیح headerها می‌تواند به Prototype Pollution و سپس اجرای کد از راه دور (RCE) منجر شود. این ضعف حتی امکان دور زدن AWS IMDSv2 و تصرف محیط‌های ابری را فراهم می‌کند و شدت آن Critical با امتیاز CVSS 9.9 اعلام شده است.

آسیب‌پذیری CVE-2026-35616 با شدت 9.8 در Fortinet FortiClient EMS به مهاجم غیرمجاز امکان می‌دهد کنترل کامل سرور مدیریتی را به دست بگیرد و از آن برای compromise کردن تمام endpointهای متصل استفاده کند. این ضعف به‌صورت گسترده در حملات واقعی بهره‌برداری می‌شود و خطر آن بسیار بالاست.